Хранение контейнеров профилей FSLogix в Файлы Azure и службах домен Active Directory или доменных службах Microsoft Entra

В этой статье показано, как настроить контейнер профиля FSLogix с Файлы Azure при присоединении виртуальных машин узла сеанса к домену домен Active Directory Services (AD DS) или управляемому домену доменных служб Microsoft Entra.

Необходимые компоненты

Чтобы настроить контейнер профиля, вам потребуется следующее:

• Пул узлов, в котором узлы сеансов присоединены к домену AD DS или управляемому домену доменных служб Microsoft Entra и пользователям.
• Группа безопасности в домене, содержащая пользователей, которые будут использовать контейнер профиля. Если вы используете AD DS, это должно быть синхронизировано с идентификатором Microsoft Entra.
• Разрешение вашей подписки Azure на создание учетной записи хранения и добавление назначений ролей.
• Учетная запись домена для присоединения компьютеров к домену и открытия командной строки PowerShell с повышенными привилегиями.
• Идентификатор подписки Azure, в которой будет находиться ваша учетная запись хранения.
• Компьютер, присоединенный к домену для установки и запуска модулей PowerShell, которые будут присоединять учетную запись хранения к вашему домену. Это устройство должно работать под управлением поддерживаемой версии Windows. Кроме того, вы можете использовать узел сеанса.

Внимание

Если пользователи ранее вошли в узлы сеансов, которые вы хотите использовать, локальные профили будут созданы для них и должны быть удалены администратором, чтобы его профиль хранился в контейнере профиля.

Настройка учетной записи хранения для контейнера профиля

Действия по настройке учетной записи хранения:

1. Создайте учетную запись хранения Azure, если у вас ее нет.

   Совет

   У вашей организации могут быть определенные требования к изменению этих значений по умолчанию:

   • Выбор уровня Премиум зависит от требований к операций ввода-вывода в секунду и задержки. Дополнительные сведения см. в разделе "Параметры хранилища контейнеров".
   • На вкладке Дополнительно параметр Включить доступ к ключу учетной записи хранения должен оставаться активным.
   • Дополнительные сведения о остальных параметрах конфигурации см. в разделе "Планирование Файлы Azure развертывания".

2. Создайте хранилище файлов Azure под своей учетной записью хранения для хранения профилей FSLogix, если оно еще не было создано.

Присоединение учетной записи хранения к Active Directory

Чтобы использовать учетные записи Active Directory для разрешений общего доступа к общей папке, необходимо включить доменные службы AD DS или Доменные службы Microsoft Entra в качестве источника. Этот процесс присоединяет учетную запись хранения к домену, представляя ее как учетную запись компьютера. Ниже выберите соответствующую вкладку для вашего сценария и выполните указанные действия.

AD DS

1. Выполните вход в компьютер, присоединенный к домену AD DS. Или войдите на один из узлов сеансов.

2. Загрузите и извлеките последнюю версию AzFilesHybrid из репозитория образцов Файлов Azure на GitHub. Запишите имя папки, в которую вы извлекаете файлы.

3. Откройте командную строку PowerShell с повышенными привилегиями и перейдите к каталогу, в который вы ранее извлекли файлы.

4. Выполните следующую команду, чтобы добавить модуль AzFilesHybrid в каталог модулей PowerShell пользователя:

   .\CopyToPSPath.ps1
   

5. Импортируйте модуль AzFilesHybrid, выполнив следующую команду:

   Import-Module -Name AzFilesHybrid
   

   Внимание

   Для этого модуля требуется коллекция PowerShell и Azure PowerShell. Возможно, вам будет предложено установить их, если они еще не установлены или нуждаются в обновлении. Если таковой запрос появится, выполните установку, а затем закройте все экземпляры PowerShell. Прежде чем продолжить, повторно откройте командную строку PowerShell с повышенными привилегиями и импортируйте модуль AzFilesHybrid еще раз.

6. Войдите в Azure, выполнив команду, указанную ниже. Вам потребуется использовать учетную запись, которая имеет одну из следующих ролей управления доступом на основе ролей (RBAC):

   • Владелец учетной записи хранения
   • Владелец
   • Участник

   Connect-AzAccount
   

   Совет

   Если у вашей учетной записи Azure есть доступ к нескольким клиентам и (или) подпискам, необходимо выбрать правильную подписку, задав контекст. Дополнительные сведения см. в статье Объекты контекста Azure PowerShell

7. Присоедините учетную запись хранения к домену, выполнив приведенные ниже команды и заменив значения для $subscriptionId, $resourceGroupName и $storageAccountName своими значениями. Вы также можете добавить параметр -OrganizationalUnitDistinguishedName, чтобы указать подразделение, в котором будет размещаться учетная запись компьютера.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Чтобы убедиться, что учетная запись хранения присоединена к домену, выполните приведенные ниже команды и просмотрите выходные данные, заменив значения и $resourceGroupName $storageAccountName значениями:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Внимание

Если вашем подразделении действуют ограничения срока действия пароля, необходимо обновить пароль до истечения срока его действия, чтобы предотвратить сбои проверки подлинности при доступе к общим папкам Azure. Дополнительные сведения см. в статье Обновление пароля для идентификации вашей учетной записи хранения в AD DS.

Доменные службы Microsoft Entra

1. На портале Azure откройте ранее созданную учетную запись хранения.

2. В разделе Хранилище данных выберите Общие папки.

3. В основном разделе страницы рядом с Active Directory выберите Не настроено.

4. В поле для доменных служб Microsoft Entra выберите "Настройка".

5. Установите флажок, чтобы включить доменные службы Microsoft Entra для этой общей папки, а затем нажмите кнопку "Сохранить". Подразделение (OU) с именем AzureFilesConfig будет создано в корне домена, а учетная запись пользователя с именем учетной записи хранения будет создана в этом подразделении. Эта учетная запись будет использоваться в качестве учетной записи службы Файлы Azure.

Назначение пользователям ролей

Пользователям, которым требуется хранить профили в общей папке, требуется разрешение на доступ к нему. Для этого необходимо назначить каждому пользователю роль участника общей папки SMB файлов хранилища.

Чтобы назначить пользователям роль, выполните следующие действия:

1. На портале Azure перейдите к учетной записи хранения, а затем к общей папке, созданной ранее.

2. Выберите Управление доступом (IAM).

3. Нажмите +Добавить, а затем в раскрывающемся меню выберите Добавить назначение роли.

4. Выберите роль участник общего доступа SMB к данным файла хранилища и нажмите Далее.

5. На вкладке Члены выберите параметр Пользователь, группа или субъект-служба и нажмите + Выбрать членов. На панели поиска найдите и выберите группу безопасности, содержащую пользователей, которые будут использовать контейнер профиля.

6. Выберите Просмотреть и назначить, чтобы завершить назначение.

Задайте разрешения NTFS

Затем необходимо задать разрешения NTFS в папке, которая требует получения ключа доступа для Учетной записи хранения.

Получение ключа доступа к учетной записи хранения:

1. На портале Azure найдите и выберите учетная запись хранения в строке поиска.

2. В списке учетных записей хранения выберите учетную запись, включающую службы домен Active Directory или доменные службы Microsoft Entra в качестве источника удостоверений и назначаемую роль RBAC в предыдущих разделах.

3. В разделе Безопасность и сеть выберите Ключи доступа, а затем отобразите и скопируйте ключ из key1.

Чтобы задать правильные разрешения NTFS в папке, выполните следующие действия:

1. Войдите на узел сеансов, который включен в пул узлов.

2. Откройте командную строку PowerShell с повышенными привилегиями и выполните приведенную ниже команду, чтобы обозначить учетную запись хранения как диск на узле сеансов. Сопоставленный диск не отображается в проводник, но его можно просмотреть с помощью net use команды. Это позволяет задать разрешения для общей папки.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Замените <desired-drive-letter> нужной буквой диска (например, y:).
   • Замените оба экземпляра <storage-account-name> именем учетной записи хранения, указанной ранее.
   • Замените <share-name> именем общей папки, которую создали ранее.
   • Замените <storage-account-key> ключом учетной записи хранения Azure.

   Например:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Выполните следующие команды, чтобы задать разрешения для общей папки, которые позволят пользователям Виртуального рабочего стола Azure создавать собственные профили, при этом блокируя доступ к профилям других пользователей. Следует использовать группу безопасности Active Directory, содержащую пользователей, которые вы хотите использовать контейнер профилей. В приведенных ниже командах замените <mounted-drive-letter> букву диска, используемого для сопоставления диска, с доменом и <DOMAIN\GroupName> sAMAccountName группы Active Directory, для которой потребуется доступ к общей папке. Вы также можете указать имя участника-пользователя (UPN) пользователя.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Например:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Настройка локального устройства Windows для использования контейнеров профилей

Чтобы использовать контейнеры профилей, необходимо убедиться, что на устройстве установлены приложения FSLogix. Если вы настраиваете виртуальный рабочий стол Azure, FSLogix Apps предварительно установлен в Windows 10 Корпоративная нескольких сеансов и Windows 11 Корпоративная многосеансовых операционных систем, но все равно следует выполнить указанные ниже действия, так как она может не установить последнюю версию. Если вы используете пользовательский образ, вы можете установить приложения FSLogix в свой образ.

Чтобы настроить контейнеры профилей, рекомендуется использовать параметры групповой политики для задания разделов реестра и значений во всех узлах сеансов. Их также можно задать в пользовательском образе.

Чтобы настроить локальное устройство Windows, выполните приведенные действия.

1. Если вам нужно установить или обновить приложения FSLogix, скачайте последнюю версию FSLogix и установите ее, запустив FSLogixAppsSetup.exe, а затем следуйте инструкциям мастера установки. Дополнительные сведения о процессе установки, включая настройки и автоматическую установку, см. в разделе Загрузка и установка FSLogix.

2. Откройте командную строку PowerShell с повышенными привилегиями и выполните следующие команды, заменив \\<storage-account-name>.file.core.windows.net\<share-name> на UNC-путь к созданной ранее учетной записи хранения. Эти команды позволяют контейнеру профиля и настраивать расположение общей папки.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

3. Перезагрузите устройство. Вам потребуется повторить эти действия для всех оставшихся устройств.

Теперь вы завершили настройку контейнера профиля. Если вы устанавливаете контейнер профиля в пользовательском образе, вам потребуется завершить создание пользовательского образа. Для получения дополнительной информации выполните действия, описанные в статье Создание пользовательского образа в Azure, начиная с раздела Создание окончательного образа для локального развертывания.

Проверка создания профиля

После установки и настройки контейнера профиля можно протестировать развертывание, выполнив вход с помощью учетной записи пользователя, назначаемой группе приложений или рабочему столу в пуле узлов.

Если пользователь выполнил вход ранее, он будет использовать в течение этого сеанса уже имеющийся локальный профиль. Сначала удалите локальный профиль или создайте новую учетную запись пользователя для тестирования.

Пользователи могут проверить, настроен ли контейнер профиля, выполнив следующие действия.

1. Войдите на Виртуальный рабочий стол Azure в качестве тестового пользователя.

2. Когда пользователь входит в систему, перед доступом к рабочему столу должно появиться сообщение "Подождите загрузки служб приложений FSLogix" как часть процесса входа.

Администраторы могут проверить, создана ли папка профиля, выполнив следующие действия:

1. Откройте портал Azure.

2. Откройте ранее созданную учетную запись хранения.

3. Перейдите к хранилищу данных в учетной записи хранения, а затем выберите Общие папки.

4. Откройте общую папку и убедитесь, что созданная папка профиля пользователя находится там.